![[personal profile]](https://www.dreamwidth.org/img/silk/identity/user.png){kind=small}
Aug. 17th, 2014
(идея) Level2
Aug. 17th, 2014 05:09 pmесли Level0 - статический анализ,
Level1 - эмуляция команд с целью (например) вывести флаги на предмет антиотладочных приемов,
Level2 - исполнение Ситом только тех АПИ вызовов исполнимого файла, что безопасны.
как только ИФ пожелает чего лишнего,
произойдет описанное
http://www.wasm.ru/forum/viewtopic.php?pid=339320#p339320
и показанное
http://youtu.be/znvFlCK_MJQ
ЧСХ, имеет смысл подозревать неладное, если все ок, а не наоборот, как диктует логика.
т.е. если Pass0 не выявил вопросов, это стимул идти дальше и пытаться эмулировать ИФ.
нечто подобное? имеется у Аваст, который при запуске Far.exe рисует окно "выполняется предварительный анализ файла, это займет до 15 секунд". здесь подходит концепция "чистой комнаты", т.е. все что уже на ПК, считается чистым, все что запускается извне, должно быть проверено.
Level1 - эмуляция команд с целью (например) вывести флаги на предмет антиотладочных приемов,
Level2 - исполнение Ситом только тех АПИ вызовов исполнимого файла, что безопасны.
как только ИФ пожелает чего лишнего,
произойдет описанное
http://www.wasm.ru/forum/viewtopic.php?pid=339320#p339320
и показанное
http://youtu.be/znvFlCK_MJQ
ЧСХ, имеет смысл подозревать неладное, если все ок, а не наоборот, как диктует логика.
т.е. если Pass0 не выявил вопросов, это стимул идти дальше и пытаться эмулировать ИФ.
нечто подобное? имеется у Аваст, который при запуске Far.exe рисует окно "выполняется предварительный анализ файла, это займет до 15 секунд". здесь подходит концепция "чистой комнаты", т.е. все что уже на ПК, считается чистым, все что запускается извне, должно быть проверено.